Es ist ja schon etwas eigenartig mit diesem „offenen Brief“ gegen den Cyber Resilience Act, der nun von Ericsson, ESET, Bosch, Siemens, Nokia und Schneider Electric an die EU-Kommission gerichtet wurde. Zuerst wird negativ festgestellt, dass Millionen von vernetzten Produkten betroffen sein können – was ja auch gerade Sinn und Zweck des horizontalen Rechtsakts ist, für mehr flächendeckende Cybersicherheit bei vulnerabler IoT zu sorgen. Und dann wird Panik gemacht, indem vor „COVID-19 ähnlichen Lieferkettenunterbrechungen“ gewarnt wird. Und als ob es damit nicht genug wäre, wird als Allheilmittel auf die „Selbstregulierung wie im AI Act“ verwiesen, die sich ja natürlich schon seit langer Zeit als nachhaltige Best Practice etabliert hat und ohne Weiteres auf Cybersicherheit übertragbar ist. Last but not least wird offen dazu aufgefordert, die Liste kritischer Produkte zu reduzieren, ohne dies vernünftig zu begründen. Das ganze Dokument ist 1,5 Seiten lang, wobei die letzte halbe Seite fast nur aus Unterschriften besteht. Und ganz zum Schluss wird als „Annex“ noch die Änderung einer einzigen Regelung vorgeschlagen. Mal ganz ehrlich: Wer hat dieses Dokument in den Unternehmen freigegeben? Und wer soll es ernst nehmen? Offensichtlich wird jedes nur erdenkliche Feigenblatt gesucht, um die künftigen Cybersicherheitsanforderungen zugunsten der betriebswirtschaftlichen Kalkulation möglichst gering zu halten. Schlimmer noch: Eine derart oberflächliche Argumentation direkt aus der höchsten Vorstandsebene erweckt gar den Eindruck, dass Cybersicherheit bei den großen Technologieunternehmen teilweise immer noch nicht hinreichend ernst genommen wird. Ein zu bedauerndes Anschreiben, dessen inhaltliche Meinung viele Mitarbeitende in diesen Betrieben sicherlich nicht teilen werden. https://cdn.digitaleurope.org/uploads/2023/11/CEO-Letter-on-Cyber-Resilience-Act.pdf
#cybersecurity #cra #compliance